我正在实施一个工具来保护 AD 林中的某些共享资源(主要是文件共享)。根据某些标准,生成来自不同域的用户列表,将这些用户添加到一个通用组(因为我需要将来自不同域的用户收集到一个组中),然后将该通用组添加到共享资源 ACL。
森林大约有 10 000 个用户,我认为我的通用组最终每个组最多有 2000 个用户。并且可能有多达数千个这样的组。
一切看起来都很好并且在测试环境中工作。
问题是有一篇关于组最佳实践的 MS 文章:http : //technet.microsoft.com/en-us/library/cc787646(v=ws.10).aspx
这里写的几乎相同:http : //ss64.com/nt/syntax-groups.html
在“跨域控制对共享资源的访问的最佳实践”部分中,它指出我应该创建域本地组并在其中嵌套全局/通用组。我知道其中有行政优势、更容易管理、可见性等
但我正在做所有自动化的事情,我的工具会自己观察正确的安全性。
我们的一些 IT 顾问试图说服我,不遵循最佳实践也可能导致性能不佳。
所以基本上问题是:如果我直接在共享资源上添加通用组而不是在域本地组中嵌套通用组,是否会对性能(这意味着登录、保护目录等所需的时间)产生影响?
提前致谢。
更新:
还有一个关于嵌套组的限制。( http://support.microsoft.com/kb/328889 ) 有 1015 个用户组的限制。因此,如果将通用组嵌套到域本地组中,我会得到大约 500 个限制,这似乎是一个痛苦的限制。
UPDATE2: 关于我的森林拓扑。我有 6 个域,分为 2 棵树。(树由一个根域和两个子域组成)